Skapa en pool med diskkryptering aktiverat

Artikel
06/29/2023

När du skapar en Azure Batch pool med hjälp av Konfiguration av virtuella datorer kan du kryptera beräkningsnoder i poolen med en plattformshanterad nyckel genom att ange diskkrypteringskonfigurationen.

Den här artikeln beskriver hur du skapar en Batch-pool med diskkryptering aktiverat.

Varför använda en pool med diskkrypteringskonfiguration?

Med en Batch-pool kan du komma åt och lagra data på operativsystemet och tillfälliga diskar för beräkningsnoden. Kryptering av disken på serversidan med en plattformshanterad nyckel skyddar dessa data med låg omkostnad och bekvämlighet.

Batch använder en av dessa diskkrypteringstekniker på beräkningsnoder, baserat på poolkonfiguration och regional support.

Du kan inte ange vilken krypteringsmetod som ska tillämpas på noderna i poolen. I stället anger du de måldiskar som du vill kryptera på sina noder, och Batch kan välja lämplig krypteringsmetod, så att de angivna diskarna krypteras på beräkningsnoden. Följande bild visar hur Batch gör det valet.

Viktigt

Om du skapar din pool med en anpassad Linux-avbildning kan du bara aktivera diskkryptering om poolen använder en vm-storlek som stöds av krypteringsvärden. Kryptering på värden stöds för närvarande inte i användarprenumerationspooler förrän funktionen blir offentligt tillgänglig i Azure.

Skärmbild av skapande av pool i Azure Portal.

Vissa diskkrypteringskonfigurationer kräver att den virtuella datorfamiljen i poolen stöder kryptering på värden. Se Kryptering från slutpunkt till slutpunkt med kryptering på värden för att avgöra vilka VM-familjer som stöder kryptering på värden.

Azure Portal

När du skapar en Batch-pool i Azure Portal väljer du antingen OsDisk, TemporaryDisk eller OsAndTemporaryDisk under DiskKrypteringskonfiguration.

Skärmbild av alternativet Diskkrypteringskonfiguration i Azure Portal.

När poolen har skapats kan du se konfigurationsmålen för diskkryptering i avsnittet Egenskaper för poolen.

Skärmbild som visar konfigurationsmålen för diskkryptering i Azure Portal.

Exempel

Följande exempel visar hur du krypterar operativsystemet och tillfälliga diskar i en Batch-pool med hjälp av Batch .NET SDK, Batch REST API och Azure CLI.

Batch .NET SDK

pool.VirtualMachineConfiguration.DiskEncryptionConfiguration = new DiskEncryptionConfiguration(
    targets: new List<DiskEncryptionTarget> { DiskEncryptionTarget.OsDisk, DiskEncryptionTarget.TemporaryDisk }
    );

Batch REST API

URL för REST API:

POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000

Begärandetext:

"pool": {
    "id": "pool2",
    "vmSize": "standard_a1",
    "virtualMachineConfiguration": {
        "imageReference": {
            "publisher": "Canonical",
            "offer": "UbuntuServer",
            "sku": "22.04-LTS"
        },
        "diskEncryptionConfiguration": {
            "targets": [
                "OsDisk",
                "TemporaryDisk"
            ]
        }
        "nodeAgentSKUId": "batch.node.ubuntu 22.04"
    },
    "resizeTimeout": "PT15M",
    "targetDedicatedNodes": 5,
    "targetLowPriorityNodes": 0,
    "taskSlotsPerNode": 3,
    "enableAutoScale": false,
    "enableInterNodeCommunication": false
}

Azure CLI

az batch pool create \
    --id diskencryptionPool \
    --vm-size Standard_DS1_V2 \
    --target-dedicated-nodes 2 \
    --image canonical:ubuntuserver:22.04-LTS \
    --node-agent-sku-id "batch.node.ubuntu 22.04" \
    --disk-encryption-targets OsDisk TemporaryDisk

Nästa steg

Läs mer om kryptering på serversidan av Azure Disk Storage.
En detaljerad översikt över Batch finns i Batch-tjänstens arbetsflöde och resurser.